Ako postupovať pri vypracovaní dokumentácie k GDPR?

Aj keď od účinnosti nariadenia GDPR uplynuli už takmer dva roky, stále evidujeme množstvo nesprávnych interpretácií a postupov. Vypracovanie GDPR sa však správnym postupom dá vyriešiť.

V našom článku Vám preto prinášame krátke zhrnutie:

• hlavných povinností,
• ako postupovať pri vypracovaní dokumentácie k ochrane osobných údajov,
• zhrnutie postupu k zapracovaniu GDPR do praxe.

Čo GDPR v praxi prinieslo? 

Na úvod pre „zopakovanie“, GDPR je ako právny predpis priamo aplikovateľný v každom členskom štáte EÚ, čo znamená, že pri spracúvaní osobných údajov, až na pár výnimiek¹ sa povinnosti prevádzkovateľov, ako aj práva dotknutých osôb riadia priamo ustanoveniami GDPR.

K základným rozdielom, ktoré oproti pôvodnej právnej úprave GDPR zaviedlo, patrí dôslednejšia úprava práv dotknutých osôb a procesov ich vybavovania prevádzkovateľmi. GDPR zavádza lehoty na vybavenie žiadosti dotknutej osoby a procesy, ako majú prevádzkovatelia pri ich vybavovaní postupovať.

Nemenej dôležité je zavedenie všeobecnej informačnej povinnosti každého prevádzkovateľa, ktorý spracúva osobné údaje aspoň jednej dotknutej osoby. Podľa pôvodnej právnej úpravy zákona č. 122/2013 Z.z. boli prevádzkovatelia povinný informovať dotknuté osoby iba vo vymedzených prípadoch². Podľa GDPR je každý prevádzkovateľ povinný poskytnúť dotknutej osobe presne vymedzený okruh informácií, ktorý je upravený v článkoch 13 a 14 GDPR Nariadenia (napr. informáciu o účeloch spracúvania, právnych základoch, príjemcoch osobných údajov či dobách uchovávania).

Ako dobre viete, GDPR zaviedlo aj mnohonásobne vyššie pokuty za porušenie povinností pri spracúvaní osobných údajov ako tomu bolo pri predchádzajúcej právnej úprave. V niektorých prípadoch hrozí subjektom spracúvajúcim osobné údaje za porušenie povinností pri spracúvaní osobných údajov pokuta až do výšky 20.000.000 EUR alebo do výšky 4% z celosvetového ročného obratu spoločnosti.

Najmä výška pokuty je dôvodom, ktorý vedie mnohé spoločnosti k tomu, aby si osobné údaje vo svojej spoločnosti „upratali“.

Ako vypracovať GDPR dokumentáciu?

Máme za to, že neexistuje univerzálny návod na to, ako je možné svoje interné postupy pri spracúvaní osobných údajov upraviť alebo nastaviť tak, aby boli v súlade s pravidlami, ktoré GDPR zaviedlo. Vychádzame totiž zo zásad GDPR Nariadenia, ktoré sú definované všeobecne a aplikujú sa na všetkých „spracovateľov“ osobných údajov.

Nastavenie procesov a rozsah dokumentácie každého prevádzkovateľa by mali vychádzať z povahy, rozsahu a špecifík, ktoré jednotlivým spoločnostiam vyplývajú z predmetu ich činnosti.

Článok pokračuje pod videom.

K povinnostiam vyplývajúcim z Nariadenia GDPR a čo má obsahovať dokumentácie k ochrane osobných údajov v zmysle GDPR sme pripravili aj zhrnutie vo videu:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Toky osobných údajov a spracovateľské operácie – audit

Základom každej dokumentácie by preto mal byť dôsledný audit osobných údajov v spoločnosti, z ktorého bude interná dokumentácia a nastavenie procesov spracúvania osobných údajov vychádzať. Na základe auditu sa identifikuje rozsah spracovateľských operácií a toky osobných údajov, sprostredkovateľské vzťahy a podobe. Vypracovanie GDPR je na audit priamo naviazané.

Na výsledky auditu nadväzuje zdokumentovanie záznamu o spracovateľských činnostiach. Ten síce nie je povinný viesť každý prevádzkovateľ alebo sprostredkovateľ³, ale je prehľadom spracovateľských operácií v celej spoločnosti. A pomôže so stanovením interných postupov.

Záznam o spracovateľských činnostiach obsahuje špecifikáciu všetkých:

• účelov spracúvania osobných údajov, ktoré prevádzkovateľ vykonáva, a
• ďalšie vyžadované informácie o spracúvaní – doba uchovávania, právny základ, bezpečnostné opatrenia, informácie o prenose mimo EÚ a pod.

Vzor záznamu o spracovateľských činnostiach vydal pre územie Slovenskej republiky náš Úrad na ochranu osobných údajov, spolu s návodom na jeho vyplnenie. Záznam o spracovateľských je potrebné viesť vždy v aktuálnej verzií a predstavuje internú mapu spracovateľských činností v spoločnosti. Zaujímavosťou je, že forma a podoba tohto záznamu je odlišná v členských štátov Európskej únie. Určite by sme prijali zjednotenie tohto (z nášho pohľadu) základného dokumentu v dokumentácii k ochrane osobných údajov.

Máte zdokumentované spracovateľské operácie? Nastavili ste dobu uchovávania a vymazania pre jednotlivé účely spracúvania? Máte prijaté bezpečnostné opatrenia „by design“ k účelom spracúvania?

Interný predpis v spoločnosti

K jedným zo základných dokumentov patrí aj interný predpis⁴, ktorý by mal obsahovať špecifikáciu interných postupov spoločnosti pri spracúvaní osobných údajov, vrátane rozdelenia zodpovedností a úloh medzi zamestnancov a iných členov spoločnosti. V smernici netreba zabudnúť najmä  na:

• úpravu prijímania a vybavovania žiadostí dotknutých osôb (čl. 12 GDPR Nariadenia),
• stanovenie postupov pri overovaní sprostredkovateľov a úrovne bezpečnosti, ktorú poskytujú,
• riešenie bezpečnostných incidentov, vrátane oznamovania porušenia ochrany osobných údajov dozornému orgánu a dotknutým osobám (čl. 33 a čl 34 GDPR Nariadenia),
• špecifikáciu vhodných bezpečnostných opatrení, ktoré spoločnosť za účelom ochrany osobných údajov pred neoprávneným prístupom, stratou, zmenou alebo zverejnením prijala (čl. 32 Nariadenia).⁵

Prijali ste interné predpisy k plneniu povinností? Obsahujú špecifikované povinnosti?

„Privacy policy“ alebo zásady o ochrane osobných údajov

Jednou zo základných povinností prevádzkovateľov podľa GDPR je informačná povinnosť voči dotknutým osobám v zmysle čl. 13 a 14 GDPR. Pri tvorbe dokumentácie preto netreba zabudnúť ani na prípravu dokumentov, prostredníctvom ktorých si spoločnosť bude plniť informačnú povinnosť. Tieto dokumenty sú zväčša nazývané zásady ochrany osobných údajov, oboznámenia alebo aj anglickým termínom „privacy policy“. Pri plnení informačnej povinnosti treba pamätať na rôzne kategórie dotknutých osôb (zamestnanci, členovia orgánov, zákazníci, dodávatelia v postavení dotknutých osôb či návštevníci webovej stránky). Jednotlivým kategóriám dotknutých osôb je potrebné prispôsobiť aj znenie týchto dokumentov.

V prvom rade si položte otázku – ako plníte informačnú povinnosť? Máte ju na webovej stránke alebo odovzdávate klientom osobne?

Poverenia oprávnených osôb

Prevádzkovateľ a sprostredkovateľ sú tiež v zmysle čl. 32 ods. 4 GDPR povinný zabezpečiť, aby každá osoba konajúca na základe ich poverenia, ktorá má prístup k osobným údajom, spracúvala osobné údaje iba na základe pokynov prevádzkovateľa alebo sprostredkovateľa. Pre tieto osoby sa zaužíval pojem oprávnené osoby⁶. Na poverenie oprávnených osôb so spracúvaním osobných údajov, udelenie pokynu a určenie rozsahu, v akom sú tieto osoby oprávnené spracúvať osobné údaje, slúžia poverenia a poučenia oprávnených osôb.

Boli vaši zamestnanci poverení so spracúvaním osobných údajov? Boli zaviazaní mlčanlivosťou, poverení so spracúvaním a poučení o bezpečnom nakladaní?

Testy proporcionality alebo DPIA

V prípade, ak prevádzkovateľ spracúva osobné údaje aj na základe právneho základu – oprávneného záujmu, netreba zabúdať ani na vykonanie a zdokumentovanie testov proporcionality, prostredníctvom ktorých sa hodnotí vhodnosť tohto právneho základu a jeho prevaha nad právami a slobodami dotknutých osôb. Prečítajte si aj naše články o testoch proporcionality.

V určitých prípadoch pri spracúvaní v zmysle čl. 6 ods. 1 písm. f) GDPR Nariadenia je nevyhnutné vypracovať posúdenie vplyvu na ochranu osobných údajov (DPIA).

Spracúvate na základe oprávneného záujmu? Máte vypracované testy proporcionality alebo DPIA? Ak áno, aktualizujete ich?

Ostatné dokumenty

Pri tvorbe dokumentácie o ochrane osobných údajov netreba zabúdať ani na dokumenty, ktoré spoločnosť používa a ktoré je potrebné upraviť alebo aktualizovať (najmä pracovné zmluvy, dohody o prácach vykonávaných mimo pracovného pomeru, prípadne dodávateľské zmluvy). Tieto interné dokumenty často obsahujú ustanovenia o spracúvaní osobných údajov, ktoré odkazujú ešte na pôvodnú právnu úpravu alebo obsahujú nesprávne určenie právneho základu a pod.

Jednou z najčastejších chýb, s ktorými sa môžeme stretnúť, je udeľovanie súhlasu zamestnancom v pracovnej zmluve. Tento prístup porušuje naraz hneď niekoľko zásad spracúvania osobných údajov a ustanovení GDPR a môže byť dozorným orgánom sankcionované.

Treba teda skontrolovať najmä:

• dodávateľské a odberateľské vzťahy a tok osobných údajov v súvislosti s nimi – ak je potrebné, vypracovať zmluvu o poverení so spracovaním osobných údajov,
• pracovné zmluvy a dohody o prácach vykonávaných mimo pracovného pomeru – ak je potrebné, revidovať a upraviť podľa súčasnej legislatívy,
• osobné dotazníky, iné interné smernice (napríklad pracovný poriadok, organizačný poriadok, smernicu pre technickú bezpečnosť a pod.),
• webovú stránku (ak máte) a umiestniť na ňu aspoň „privacy policy“ podľa odporúčaní EDPB a reagovať na účely spracúvania spojené s webovou stránkou,
• ďalšie dokumenty, ktoré priamo ovplyvňujú spracúvanie osobných údajov.

Kontrolovali ste pracovnoprávne dokumenty? Riešili ste zmluvy o poverení so spracúvaním osobných údajov? Revidovali ste interné predpisy, z ktorých môžu vyplývať povinnosti?

Máte dokumentáciu? Nezabudnite, že „šanóny“ povinnosti neplnia

Ak máte spracovanú dokumentáciu, bez jej implementácie do života spoločnosti je jej prijatie zbytočné. Preto posledným a najdôležitejším krokom každého nastavovania procesov v oblasti ochrany osobných údajov je zavedenie prijatých postupov do praxe. Je jasné, že ak ju máte založenú v zložke a nepracujete s ňou, hrozí vám pokuta.

Zároveň, keď máte len „vzorovú dokumentáciu“, tá tiež nemusí stačiť, o čom sme hovorili aj v našom videoškolení k ochrane osobných údajov.

Nastavovanie procesov a vypracovanie GDPR dokumentácie o ochrane osobných údajov v spoločnosti nie je jednoduchou záležitosťou a preto odporúčame obrátiť sa na odborníkov. Tiež máme za to, že ochrana osobných údajov GDPR je komplexná problematika, ktorá potrebuje osobitný prístup – nielen „vzory“.

1. Napríklad, ak ide o spracúvanie osobných údajov pri činnostiach, ktoré nepatria do pôsobnosti práva EÚ – vybavovanie sťažností podľa zákona o sťažnostiach alebo pri domácich činnostiach – spracúvate osobné údaje ako fyzická osoba. V týchto prípadoch sa uplatňujú ustanovenia zákona č. 18/2018 Z.z. o ochrane osobných údajov v znení neskorších prepdisov alebo sa neuplatňujú platné právne predpisy. ↩

2. Napríklad, ak bolo právnym základom spracúvania osobných údajov plnenie zmluvy ↩

3. Povinnosti viesť záznamy o spracovateľských činnostiach sa nevzťahujú na spoločnosť, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné  alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10 GDPR ↩

4. niekedy nazývaná aj interná politika v oblasti ochrany osobných údajov ↩

5. Bezpečnostné opatrenia by mali zohľadňovať povahu, rozsah, kontext, účely spracúvania a riziká pre práva a slobody fyzických osôb a pri ich prijímaní by mal prevádzkovateľ zohľadniť najnovšie poznatky v tejto oblasti ale aj náklady na vykonanie a prijatie týchto opatrení ↩

6. Tento pojem vychádza ešte z predchádzajúcej právnej úpravy ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb